[PHP-users 13919] Re: 携帯のブラウザでセッション設定について
Kazumasa Gotoh
php-users@php.gr.jp
Thu, 13 Mar 2003 11:09:17 +0900 (JST)
From: Ken <ken_ne_jp2001@yahoo.co.jp>
Date: Wed, 12 Mar 2003 23:22:55 +0900 (JST)
> 携帯のサイトで会員専用のショッピング機能が付いたものを製
> 作したいと考えています。
> ショッピングサイトには、セッションが必須の技術だと思いま
> すが、それが使えないとなると私のレベルではもうお手上げな
> のです。
携帯クライアントからのショッピングモール利用を考えた場合、
セキュリティ面から言えば、「SSL が使えるかどうか?」という
要素も考える必要があるでしょう。
私は、一般に携帯では SSL 通信はできないと認識していますが、
携帯電話自身にあまり詳しくないので (^^; この点に誤りがあれば
どなたか指摘してください。
通信が暗号化されていないと、login 認証も、何を買っているかも
パケットをタップすれば調べることができるのですから、現時点では
個人情報を扱うシステムでこれを行わずにセキュリティを云々しても
あまり意味はないでしょう。
もちろん「SSL だけ」を行えばそれで良いというものでもありませんが、
個人情報を取り扱うシステムでの SSL 通信は、絶対必用条件のひとつ
であると私は考えています。
じゃぁ、携帯で SSL が使えないのだとしたらどうするんだ? という
点に関しては、確か各携帯事業者では、携帯サイトとの間でディジタル
専用回線を使った直接接続を行うサービスを提供しているはずです。
楽天などの規模になれば、おそらくその携帯ショッピングモールは
このような形で接続されているのではないかと思われます。
こうすると、携帯端末の利用者は Internet 網を利用して携帯サイトに
アクセスするのではなく、携帯事業者から専用線を通して携帯サイトに
アクセスする形になりますので、SSL 化を行わなくても携帯事業者までの
経路では安全が確保できることになります。
そうは言っても、携帯事業者から携帯端末の間の電波は暗号化されてる
のか? という話もありはするのですが、そこは携帯サイトを運用する
側にとって手を出せる領域ではないので、こちら側の立場としては、
その部分の責任は携帯事業者にある。とするしかありません。
また、「そもそも電波による通信というのはそういうものだ」という
説明責任も携帯事業者側にあり、携帯端末利用者はそのことを通知され、
意味を理解した上で利用する責任があります。
それでは携帯サイト側も「携帯は SSL に対応してないけど、それを承知で
使ってね」と宣言すれば良いのかと言えば、これはそうは言えないでしょう。
なぜなならば、先に書いたように少なくとも携帯事業者までの経路を
安全にする方法は提供されているのですから、このような接続方法を採ら
ないのは携帯サイトの怠慢であるとなるからです。
で、上記のような接続形式にしたとして、携帯サイトでセションを持った
アプリケーションを作るには HIDDEN タグを使うくらいしか手はないの
ではないかと思います。
携帯端末に View Source の機能がなければ、とりあえず HIDDEN タグを
使っても、実用上の危険はないと言えると考えます。
View Source ができる携帯端末ってあるのでしょうか?
=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
(株) セントラル情報センター
後藤和政 kgotoh@cic-kk.co.jp